把不活躍賬號自動轉成殭屍，新浪微博能不能別這麼不要臉？

來自專欄大破進擊189 人贊了文章

10 月 5 日晚，我剛到家，收到這樣一條簡訊。

連知乎上都有人發來私信通知我這件事。

我上一個微博賬號就是因為被盜，加上新浪當時已經不認可郵箱作為密保，無法被找回。所以這已經算是第二次被盜了。

但其實我早已不用微博了，我的 iPhone X 上甚至沒裝任何微博客戶端，只有 6s 上還裝有微博客戶端，是一年前我因為想要徹底註銷這個微博賬號才裝的。但最後因為微博的重重阻撓，最後沒能註銷成功。當時微博給我設下的最後一道限制是：「必須在三個月內沒有修改過密碼，才能註銷賬號。」

但這一次我 100% 確定，這絕不是有人盜取了我的賬號，而絕對是新浪自身的數據泄漏，甚至主動將不活躍用戶的賬號轉成了殭屍，賣給了黑產，迫使用戶登錄賬號進行操作，以獲得更好的用戶活躍數據。

接下來我將解釋為什麼我的賬號不可能被盜。

首先，我賬號的密碼沒有被改。我收到消息之後直接拿出我的 iPhone 6s，賬號還處於完全正常的登錄狀態，甚至沒有登出，更沒有任何安全異常提示。

所以如果存在這麼一個盜號者，他絕不可能是獲取了我的密保手機，通過「找回密碼」的方式改掉密碼，然後登錄。他只可能是直接通過賬號和密碼，登錄了我的賬號。

而這個世界上不可能有人能獲取我的微博密碼。

今年年初的時候，為了註銷我的微博賬號，我對微博密碼進行了更改（因為根據新浪的說法，我之前那個密碼「不夠安全」，所以無法註銷賬號）。修改後的密碼中包含兩個毫不相干的「因素」（數字、人名、地名……），也從沒被我用於任何其他平台的賬戶。修改密碼之後，因為我並不用微博，所以這個密碼具體是什麼我自己都忘了。之後 10 個月的時間裡，我只在我 Mac 的 Safari 上和 iPhone 6s 的微博客戶端上登錄過微博，密碼保存在我的 iCloud 鑰匙串里。

稍微懂技術的人應該明白，這樣一個世界上獨一無二的、不可能通過我的個人信息撞出來的、只保存在 iCloud 鑰匙串里，甚至我都沒有用鍵盤輸入過的密碼，是不可能泄漏的。

所以這件事只剩下了一種可能性。

新浪微博首先會想盡辦法阻撓用戶註銷賬號，無法註銷賬號的用戶如果長期不用微博，新浪就會通過某種方式，將不活躍用戶的賬號變成殭屍粉。通過這種方式讓用戶不得不重新登錄，修改密碼，甚至發微博說明自己賬號被盜的情況。

我常常對騰訊阿里發出批評，但我真的沒意識到最不要臉的公司其實是新浪。

最後我簡單介紹下我在互聯網上設置密碼的方式，學習一下這個，可以讓你的賬號不莫名其妙被盜。

首先我會根據我的依賴程度，將不同的平台分為三個不同的安全等級。最低的一等是「即使被盜也不會產生什麼損失」的，就偶爾註冊一下，偶爾用一用的賬號；中間一等是「我用得還比較多，但不涉及私密數據，也不涉及銀行（支付寶）賬戶」的賬號；最高一等就是「涉及重要隱私或銀行賬戶」的賬號。

針對最低一級的賬戶，我想了一個「雙因素」密碼，一個「因素」就是你密碼的來源，比如是某個人名地名的縮寫，某個日期，某串號碼。用兩個完全不相干的「因素」組成的密碼，可以保證這個密碼不會被知悉你個人信息的人套取。當有我註冊了的平台出現了被「拖庫」的情況，明文密碼泄漏（其實我還沒遇到過），我就需要對想得到的賬號統一進行密碼修改。

針對第二級的賬戶，我仍然想了一個「雙因素」密碼。但跟第一級賬戶不一樣的是，我會根據平台的信息對這個密碼進行「二次加密」，根據不同賬戶平台的名稱提取出一個特徵數字，用於定位這個密碼中的某個位置，我會在這個位置上加入一個特殊符號。這就使我所有的密碼各不相同，但又不會記不起來。

（比如我的雙因素密碼是 zhihu138，然後我根據「騰訊」的網站地址 http://qq.com，qq 是兩個字母，提取特徵數字「2」，定位第二個字母后加一個連字元，那麼我的知乎密碼就是 zh-ihu138。）

針對第三級的賬戶，我想了一個「四因素」密碼，並根據平台的信息對這個密碼進行雙重的「二次加密」，根據平台的名稱提取出兩個特徵數字，其中一個用於定位這個密碼中的某個字母，將其大寫，另一個用於定位這個密碼中的某個空隙，在其中加入一個特殊符號。

總之就是在這套系統下，我的新浪微博密碼仍然泄漏了。所以我能 100% 確定，這是新浪內部的問題所致，甚至新浪本身主動推動了這類事情的發生。

Fuck 微博。

以上。